用了好多年的 mikrotik RB450 前几天坏了,昨晚刚到手 RB750Gr3 ,反正不知道为啥,旧有的配置不能直使用,家里急着要上网,于是硬着头皮开了个简单,pppoe 能连上网先,
现在笔记本在家里 LAN 内,SSH 去连接"动态域名:映射出来的端口",连不上映射的那台 LAN 内桌面电脑的 SSH 了,以前 RB450 是可以,但真想不起来是防火墙规则,还是什么功能没打开?
RB750Gr3 防火墙目前只有简单的 6 条:
1 、add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
2 、add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
3 、add action=drop chain=forward comment="defconf: drop invalid forward" connection-state=invalid log-prefix="defconf: drop invalid forward"
4 、add action=accept chain=input comment="\D4\CA\D0\EDWAN SSH" dst-port=44013 in-interface-list=WAN protocol=tcp
5 、add action=drop chain=input comment="\B2\BB\D4\CA\D0\EDWAN PING" in-interface-list=WAN protocol=icmp
6 、add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
1,2 是网上抄的例子,大概就是让确立关系的链接流量流转了
3 似乎是一个防御规则,抄别人例子的
4 是允许公网访问 RB750Gr3 的 31111 了,已经在公司试过,没问题
5 是不让 ping WAN 口
6 防御规则,也是抄的
NAT 规则有其中这条:
add action=dst-nat chain=dstnat comment=LinServerSSH dst-port=44013 protocol=tcp to-addresses=192.168.123.28 to-ports=22
故障:
如我动态域名是 ddns.ddns.net,我在公司访问 ddns.ddns.net:44013 ,可以连上的,
但在家里(LAN 内)去访问 ddns.ddns.com:44013 就不行了,
必须得用 192.168.123.28:22
这样就很麻烦了,很多预备的程序,都是预设以动态域名为指向,
不知道 RB750Gr3 是规则写得不好,还是什么原因呢??
1
Select Language